美国军方正在拟定一份外国公司列表,主要是俄罗斯和中国的公司,称出于安全考虑,美国国防部及其承包商不应从这些公司采购软件产品。
7月27日的记者简报中,美国国防部主管采购和维护的次长 Ellen Lord 称,官方耗费半年时间编制了该所谓的“不要买”列表。编制该列表的目的是阻止美国武装力量及其承包商购买或使用源自俄罗斯和中国的代码,以防这些代码可被远程劫持和监视。
该列表的编制得到了美国国防承包商的支持,包括美国航空航天工业协会、国防工业协会、专业服务委员会等。
“有非常具体的问题让我们不得不重视这一点。我们所做的就是要确保不购买源自俄罗斯或中国的软件。很多情况下并不能一眼鉴别出是否源于这两个国家,因为控股公司成分复杂。
美国政府一直在锁定其供应链,想要挫败外国情报机构在美国进口的IT技术中插入漏洞或后门的尝试——NSA往思科设备里藏入的后门。美国拿安全问题作由头封禁外国供应商的最著名案例,就是对俄罗斯安全软件提供商卡巴斯基和中国硬件供应商华为的禁令了。
鉴于Lord的国防工业公司高管背景,这最新的公司列表是真的出于安全问题考虑,还是单纯的国防工业贸易保护主义,我们难免有所疑虑。去年走马上任之前,Lord在美国国防承包行业浸淫了30年。最近的履历是2012年10月到2017年6月间出任美国国防承包商德事隆公司旗下德事隆系统的总裁兼CEO。但另一方面,中国和俄罗斯情报机构也会利用出口到美国的工具和产品偷偷窥探山姆大叔。情报界你中有我我中有你是常态,往别人家设备上安后门的人被别人弄个漏洞在自家系统中不是很正常么?
美国对俄罗斯和中国软件说“不”的同时,思科、IBM、HP、迈克菲和SAP据传得交出源代码和设计图供俄罗斯政府仔细审查,确认没有后门和其他恶意软件之后,才可以把自己的软件卖到俄罗斯。
这操作就令人深思了,尤其是因为这些公司中有几家还是美国军方的主要供应商。任源代码暴露在俄罗斯机构的面前,不就等于让俄罗斯间谍知道该怎么攻击这些软硬件系统来窃听美国政府了吗?
中国也有类似的源代码审查要求。目前,微软、IBM和英特尔表示自己不会交出源码,但情况总会有所变化。
让问题进一步复杂化的是,一些民族国家一直试图购入主流美国软件公司的股份,还在不断成立股份公司和空壳公司以混淆代码源头。五角大楼想要弄清哪些能买哪些不能买恐怕得花费一些时间。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。